Леонид Каганов. Онлайн дневник. Голосов: 4 Адрес блога: http://lleo.aha.ru/dnevnik/ Добавлен: 2007-10-21 03:51:40 блограйдером Lurk

2013/08/12 - Вдогонку о паролях

2013-08-14 01:53:53 (читать в оригинале)

Большое бурление говен вызвала моя скромная заметка о том, как я в собственном движке на своем личном сайте не считаю правильным усложнять жизнь читателям, требуя от них ибанических процедур и сверхсложных паролей. Ну да речь не о том. Зацените:

Это я как-то пытался (с мобильника, в роуминге, из другого города, срочно) восстановить пароль на сайте rzd, чтобы купить билет. Это была большая проблема, потому что билет нужен был срочно, а система требовала указать почтовый ящик и зарегистрироваться. Но другого действующего ящика у меня нет (особенно в тот момент с мобильника), а на lleo@aha.ru система отвечала, что такой адрес «уже зарегистрирован» и предлагала пройти процедуру восстановления пароля... Сколько лет назад я заводил на rzd аккаунт на свой адрес — не помню. Но это явно было в те годы, когда сайт rzd был особенно крив (он и сейчас-то не слишком прям), и анкету с личными данными и разгадыванием капчи приходилось набивать много раз подряд, потому что сайт по разным причинам ее отклонял. Видимо, к тому моменту, когда система предложила задать контрольный вопрос, нервы уже не выдерживали.

Ссылку я публикую (пишут, что она будет действительна в течение 24-х часов с момента отправки данного письма):

https://rzd.ru/timetable/public/ru/pwdGen?code=2ea301h86364h8e0a050h2dei34eh8 (до 13 Aug 2013 19:02:22)

Еще на сутки обновил: https://rzd.ru/timetable/public/ru/pwdGen?code=c329gc565g2d3b6e18f6199943h50 (до 14 Aug 2013 19:31:20)

Время пошло!

Если вам удастся отгадать ответ на вопрос (я уверен, что-то я туда все-таки написал) и восстановить мой пароль — с меня бутылка виски.

Замечу, что аккаунт lleo@aha.ru мне на rzd.ru мне до сих пор восстановить так и не удалось — ответа на коварный вопрос я не знаю. Ни в прикладном, ни в философском смысле.

Возвращаясь к теме: все-таки изумительная срань. Вот зачем требовать ответа на контрольный вопрос от владельца ящика lleo@aha.ru, куда был выслан запрос о восстановлении пароля с секретной ссылкой? На случай, если даже мой почтовый ящик захвачен врагом? И что тогда? Захватив lleo@aha.ru, враг пройдет по секретной ссылке, узнает мой пароль на сраном rzd.ru и... сумеет купить себе железнодорожный билет? На свое имя за свои деньги? Или на мое имя за свои деньги? Или влезет в мою учетную карточку и исправит фамилию — вместо «Каганов» напишет «Хуюганов-бггг!!!» и тем нанесет адский ущерб моей деловой репутации на сайте сраной билетной кассы? Мозг взрывается от предположений.

PS: Ответ «не знаю» я проверил, не подошло. Пишите в каментах, какие вы варианты проверили.

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/12.html, там можно оставить комментарии.

---

2013/08/08 - Движок: восстановление забытого пароля

2013-08-09 11:25:54 (читать в оригинале)

Вы меня долго об этом спрашивали, но все руки не доходили. Наконец я забыл свой пароль на lleo.homeip.net (а может, пароля там и не было, а я логинился через Фейсбук какой-нибудь?), и пришлось наконец сделать в движке восстановление пароля.

Итак: чтобы вызвать окно логина, надо нажать с клавиатуры 'U' и в раскрывшейся карточке кнопку «залогиниться». Либо — просто открыть страницу по прямой ссылке http://lleo.me/dnevnik/login. В самом нижнем разделе, где ввод логина и пароля, теперь есть ссылочка «я не помню свой пароль». По ней раскроется дополнительный раздел, где надо ввести email, указанный при регистрации (не важно, был он подтвержден или нет) или логин (если не помните email). Или и то и другое, если на один email вы назаводили когда-то кучу аккаунтов. Впрочем, если просто указать емайл, движок сам найдет все аккаунты и перечислит их на выбор. На email отправится письмо со ссылкой, зайдя по которой, вы сможете набрать новый пароль (и вас сразу переключит в ваш старый аккаунт). Единственное что — после моих вчерашних экспериментов с почтой там вывалилась куча мусора в sendmail и он задумался - сервер может работать нестабильно и письма дойдут не сразу.

Пользуясь случаем, хочу сказать следующее всем разработчикам:

1. Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.

2. Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.

3. Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.

4. Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

5. Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.

Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки...

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/08.html, там можно оставить комментарии.

---

2013/08/05_avtokond - Как самому заправить автокондиционер и почему это не надо делать

2013-08-06 15:34:00 (читать в оригинале)

В нашей Автодину на Ярославке.

PS: Как вы поняли, это была реклама. Реклама Автодины на Ярославке. Там отличные профессионалы, рекомендую, а директор даже бывает среди читателей моего блога, не первый год знакомы. И еще одна полезная ссылка: если набрать «заправить автокондиционер» в любом поисковике, выдаст http://freezer.ru — тоже знакомые проверенные люди.

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/05_avtokond.html, там можно оставить комментарии.

---

2013/08/04_hapsagai - Якутия: хапсагай и страсти вокруг парома

2013-08-04 03:17:41 (читать в оригинале)

Через Лену (как впрочем, и через Алдан) нет моста. Это большая проблема для всей республики Саха. Зимой ездят по льду, летом ходят паромы раз в час, а вот в межсезонье проехать нельзя совсем. Паромы коммерческие и ходят до последнего — самый последний осенний паром идет уже с риском покорежить борта об льдины, и цена перевозки грузовой машины может достигать 100 тыс рублей (обычно — пара тысяч). Но даже в разгар навигации очередь выстраивается длиннющая:

Поскольку по всей республике шел праздник, капитан парома через матюгальник сурово предупредил, что первыми поедут автобусы с детьми, возвращающимися с праздника. Сурово повторил три раза на всё побережье: «Без очереди сегодня на паром никто не въедет! Первыми пойдут автобусы с детьми!» В итоге дети проехали первыми, но не сразу:

Первым делом вне очереди попыталась на паром въехать иномарка. А когда я ее сфотографировал, водителю это так не понравилось, что он вильнул в мою сторону, норовя сбить капотом:

Капитан парома еще дважды проорал с башни в матюгальник уже конкретно этому водителю: «Отвали назад! Перед автобусами никто не въедет!» Но легковушка уверенно перла к парому. И только когда капитан нажал кнопку и подняв трап на полметра, легковушка остановилась. Я продолжал фотографировать, а из окошка высунулась тетка и стала орать лично мне (почему-то), что им надо проехать, поскольку они везут инвалида. В машине и правда сидел дедок с перевязанным локтем. Тетка делала мне страшные глаза и шипела: вы хоть знаете, чья это машина? Да вы понимаете, кто это едет? Вы хоть понимаете, чем это для вас закончится? Не смейте эту машину фотографировать! Но я блогер из Москвы, приехавший по приглашению министерства туризма Якутии и национального туроператора Республики Саха http://planetyakutia.com, поэтому моя задача именно фотографировать. А чья это была такая опасная машина, я до сих пор не знаю. Может кто-то из моих читателей в курсе и объяснит, что это была за супермигалка?

Впрочем, инцидент с иномаркой, где ехал дедушка с перебинтованным локтем, а капитан парома его заставил уехать и пропустить автобусы, был короткий и мелкий — иномарка отъехала в сторону, пропустила автобусы, и тоже заняла свое место на пароме. Куда больше страстей разгорелось позже, когда автобусы с детьми проехали. В очередь попытался въехать сбоку кавказец на КАМАЗе-кране (да, в Якутии тоже работают приезжие кавказцы):

Но въехать в центр очереди ему не дали — взяли и не пустили. Кавказец очень обиделся. И хотя он был по всем понятиям кругом неправ (а может быть, как раз именно поэтому?), горячая южная кровь заставила его выскочить из машины с монтировкой. Он был зол, громко кричал и бросался на всех вокруг:

Особенные вопли и угрозы он обрушил на КАМАЗ, который не дал ему проехать:

Он стучал монтировкой по корпусу, затем распахнул дверцу и тыкал монтировкой водителя:

Монтировки ему показалось мало — в свободную руку он схватил камень и теперь размахивал им:

Как сказали бы шаманы, душой его завладели злые демоны Нижнего мира:

Море эмоций, прямо очень страшный терминатор:

Отстав наконец от КАМАЗа, он переключился на случившегся поблизости якута и полез в драку, размахивая монтировкой:

Якут оказался хоть и тихий, но не пугливый. Он не кричал и не размахивал руками попусту. Только по делу:

Первым же движением якут отобрал у хулигана монтировку, и она полетела на землю:

Кавказца это не остановило, он полез в драку, размахивая кулаками:

И, хоть кавказец был крупнее и выше, кулаки его почему-то цели не достигали:

Якут провел прием и повалил хулигана:

Затем сделал захват:

И в таком положении удерживал разбушевавшегося, ожидая пока тот успокоится:

Как обычно бывает: увидев, что злодей повержен и больше не опасен, из толпы выскочил какой-то доброхот и принялся пинать скованного злодея кулаком:

Подоспевшие водители оттащили вмешавшегося, объяснив, что это не по-мужски:

А затем аккуратно разняли пару, следя, чтоб кавказец снова не начал дергаться:

Поверженный и помятый, тот потом еще долго шипел и фыркал, но уже тихо и себе под нос:

А наш герой остался терпеливо ждать свой очереди. Он был по-прежнему спокоен и невозмутим.

Национальная якутская борьба называется хапсагай. Именно ее приемы помогли якуту так легко и бескровно успокоить разбушевавшегося хулигана. Правила хапсагая просты: надо устоять на ногах. Тот, кто коснулся земли чем-то, кроме ног, — сразу проиграл. Борьба эта идет из древности, соревнования проводились в Якутии всегда. Призом победителю традиционно служила варёная бедренная кость жеребца с мясом, чарка кумыса и песнь в его честь. Ну а побеждённому показывали «оскорбительный кукиш, запачканный землёй». Само слово «хапсагай» переводится с якутского примерно как «ловко хватай и проворно действуй». Борьба упоминается в самом знаменитом якутском произведении — героическом эпосе Олонхо: там богатырь Среднего мира (нашего мира) побеждает представителя тёмной силы при помощи приёмов хапсагай. Полагаю, на вышеприведенных фотках мы с вами увидели современную версию именно этого эпизода Олонхо. В Якутии хапсагай очень популярен, мальчишки занимаются борьбой с детства. Вот так идут школьные соревнования по хапсагаю в далеком поселке Тополиное, о котором я расскажу в следующий раз:

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/04_hapsagai.html, там можно оставить комментарии.

---

2013/08/03 - Почта, Навальный и ФСБ

2013-08-03 23:43:00 (читать в оригинале)

Пошел сегодня на почту получать какое-то заказное письмо, а на Южной наконец-то выступает Навальный:

Вру конечно, мне друг SMS прислал, вот я и пошел на почту, а так бы еще месяц не собрался. Посмотрел на Навального, Навальный молодец, как обычно. Красиво и уверенно говорит, очень работоспособен (по 6 встреч в день), очень открыт и готов к диалогу, блестяще организовал работу своего штаба. Было очень мило.

Подошли ко мне и читатели дневника из окрестных домов — аж пять человек, не считая одну милую собачку. познакомились, спасибо, был рад вас видеть. Вот даже уже нашел ваши отчеты с моей фоткой в твиттерах да инстаграммах. Найти себя сейчас стало сложно, потому что какой-то чиновник из Минобраза приехал на Селигер, и тысячи кремлеботов немыслимо засрали всю поисковую выдачу.

ПОЧТА

На почте как всегда ад: часовая очередь, ссоры, кто где стоял, замотанная кричащая почтальонша (есть вторая доброжелательная, но она сидит в дальней комнате и выходит лишь иногда). На почте бардак полный: пришел негр, плохо говорящий по-русски, сказал номер квитанции, так ему не хотят давать письмо, потому что «долго искать». Мое письмо искали минут пятнадцать — объяснили, что писем пять тысяч, и ищут по фамилии, просматривая все. Почему было один раз не разложить их по возрастанию учетных номеров, указанных в квитанции? Зачем каждый раз искать по фамилии, делая одну и ту же бессмысленную работу много раз в час? Ответа нет. Разговорился в очереди с теткой, которая сама работает на почте — только в другом отделении. Спросил, правда ли в Москве на почте такая нищенская зарплата, что набрать персонал проблема и идет работать только самые сумасшедшие и неорганизованные? Оказалось, не так уж и плохо: официальная зарплата в среднем 15000, но со сдельной надбавкой в среднем выходит 30000. Поэтому формула «вас много, а я одна, инвалид и волонтер за гроши» — это оказалось, не совсем верная формула для почты в Москве.

ФСБ

Письмо получил — это оказался наш долгожданный ответ из ФСБ на тот самый запрос, когда мне звонили телефонные хулиганы, представляясь работниками ФСБ и приглашая на беседу:

Во-первых, спасибо ФСБ за ответ. Который, хоть и на четвертый месяц после апреля, но все-таки пришел. В письме ФСБ официально подтвердило, что вызов был шуткой. Однако на наш с вами главный вопрос ответа, увы, не прозвучало. Ведь, разумеется, я не ожидал, что ФСБ бросит свои важные дела, терроризм и госбезопасность, и примется ловить какого-то там *******, который полагает, что ему удалось остаться неизвестным.

Наш главный вопрос к ФСБ был, как вы помните, в том, что я просил для меня и читателей моего блога официально разъяснить: обязан ли гражданин РФ приезжать в какие-либо органы госбезопасности после телефонного звонка?

Очень жаль, что на этот важный, но неудобный вопрос мы ответа так и не получили. Поэтому мне придется сообщить чисто свое мнение, сформированное по итогам бесед с друзьями, среди которых как журналисты, так и люди, близкие к разным органам.

Телефонный звонок НЕ ЯВЛЯЕТСЯ официальной следственной процедурой. Процедурой вызова является повестка. В повестке должна быть указана важная информация: номер дела, фамилия следователя, а также статус — в качестве кого вызван (свидетель, подозреваемый, обвиняемый и т.п.) Иногда работники органов действительно звонят по телефону, а слать повестку не хотят. Это редко связано с важностью дела и неспешностью почты России — если дело важное, сами приедут хоть домой, хоть на работу. Чаще вызов по телефону продиктован маловажностью дела (набрать список из 100 человек и поговорить с кем попало, кого удастся вытащить), либо нежеланием сообщить информацию о номере дела и вашем статусе. Статус, кстати, может измениться: преступника могут специально вызвать на беседу как простого свидетеля, а по прибытии переквалифицировать в обвиняемого и отправить в камеру в наручниках — и так бывает. Но все равно повестка — это важная бумага, которая пригодится для отчетности и вам, и вашему работодателю (отчитаться за день прогула) и, если вдруг что, вашему адвокату.

Однако если вы не заняты никакой противозаконной деятельностью, не видите повода для подозрений в свой адрес, и у вас нет причин опасаться беседы с органами, то ходить или не ходить после звонка — это вопрос чисто вашего любопытства. У меня большинство знакомых журналистов, блогеров, писателей и деятелей искусства за последние 10 лет так или иначе бывали на беседе в органах, и там почти в дружеской атмосфере им задали довольно простые вопросы, важные для следствия, но лично их не касающиеся. Типа: не слышали ли вы случайно о каких-либо бандформированиях во время своей недавней поездки автостопом по Дагестану, о чем вы писали в блоге? Или: ваш емайл найден в компьютере худрука Большого театра, не в курсе ли вы, кто мог стоять за покушением на него? И так далее. Поэтому если вы ничего не опасаетесь, хотите помочь в расследовании какого-то злодеяния, либо вам просто любопытно и есть дела в том районе — то сходите, как сделал я (хотя, как вы помните, у меня были подозрения, что вызов не настоящий). А если не хотите идти (даже если уверены, что звонок настоящий) — попросите прислать повестку и положите трубку. Можете сослаться на меня, это прекрасная отмазка. Так прямо и говорите: моему знакомому Леониду Каганову тоже однажды звонили, а потом выяснилось, что это шутка, ФСБ прислало официальное письмо, что никакого вызова не было. Потому что по телефону никто не имеет права вас заставить куда-то явиться, и никакого наказания за неявку не существует, если вы не получали повестку.

Оригинал заметки находится по адресу http://lleo.me/dnevnik/2013/08/03.html, там можно оставить комментарии.